Verwerking persoonsgegevens

27 september 2022 om 13:47

Voor het verwerken van persoonsgegevens geldt de Algemene verordening gegevensbescherming (AVG). De AVG ziet op alle landen die behoren tot de Europese Economsche Ruimte (EER). Voor doorgifte van gegevens naar een land binnen de EU gelden andere regels dan voor doorgifte naar een land buiten de EER.

Doorgifte binnen de EU

Binnen de Europese Unie (EU) is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de AVG. De EU is daarom één rechtsgebied bij bescherming van persoonsgegevens. Geeft een organisatie persoonsgegevens door van Nederland naar een ander land binnen de EU? Dan hoeft er alleen te worden voldaan aan de ‘algemene’ eisen uit de AVG.

Doorgifte buiten de EU

Er gelden aparte regels voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EER, de zogeheten derde landen. De hoofdregel hiervoor is dat persoonsgegevens alleen mogen worden doorgegeven naar derde landen met een passend beschermingsniveau.

Een derde land is een land buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte. Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.

Er zijn vier gevallen waarbij het mogelijk is om persoonsgegevens door te geven naar een derde land. Bij deze vier gevallen is er dus sprake van een passend beschermingsniveau.

Deze vier gevallen betreffen een adequaatheidsbesluit, passende waarborgen, binding corporate rules (BCR) en specifieke uitzonderingen.

Doorgifte op grond van adequaatheidsbesluit (art. 45 AVG)

Als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een adequaatheidsbesluit nemen. (art. 45 AVG) De EC stelt dan vast dat de gegevensbescherming in dat land van vergelijkbaar niveau is als de AVG. Een adequaatheidsbesluit kan over een heel land worden genomen, maar ook over een bepaalde sector binnen het land. Bijvoorbeeld in Canada, waar alleen commerciële bedrijven binnen het adequaatheidsbesluit vallen. Wanneer er een adequaatheidsbesluit is genomen, hoeft er voor doorgifte naar dat land of die sector geen aanvullende waarborgen worden getroffen.

Doorgifte op basis van passende waarborgen (art. 46 AVG)

Is er geen sprake van een adequaatheidsbesluit, dan moet er een andere passende waarborg zijn bij het doorgeven van persoonsgegevens aan een derde land. Een passende waarborg is bijvoorbeeld een modelcontract dat door de EC is vastgesteld, dit is op grond van art. art. 46 lid 2 onder c van de AVG.

Andere manieren om een passend beschermingsniveau te waarborgen is bijvoorbeeld een gedragscode (art. 46 (2) onder e van de AVG) of via een certificeringsmechanisme (art. 46 lid 2 onder f van de AVG).

Wanneer er gebruik wordt gemaakt van bovenstaande passende waarborgen, stelt de AVG wel als voorwaarde dat de organisatie bindende en afdwingbare toezeggingen heeft van de partij in het derde land dat deze de juiste waarborgen toepast.

Wanneer er sprake is van passende waarborgen dient er met het derde land een modelcontract te worden gesloten. Ook wel de Standard Contractual Clauses (SCC) genoemd. Hierbij maakt de verwerkingsverantwoordelijke afspraken met het derde land over de bescherming van de verwerking. Let hierbij wel op dat alleen deze afspraken vaak niet voldoende is en er nog aanvullende waarborgen gevraagd worden. SVC kan u hierbij ondersteunen.

Wat kunt u doen?

Wanneer u persoonsgegevens doorgeeft naar een derde land is het belangrijk om na te gaan of er sprake is van een adequaatheidsbesluit of passende waarborgen. Wanneer er geen sprake is van een adequaatheidsbesluit of passende waarborgen. Wanneer bovenstaande gevallen niet voor uw organisatie gelden, is het verstandig na te gaan of uw organisatie beroep kunt doen op de specifieke uitzonderingen genoemd in art. 49 AVG.

Wat kan SVC voor u doen?

SVC kan u begeleiden bij het voldoen aan de eisen van de AVG en daarbij ook met het opstellen van een modelcontract met aanvullende waarborgen. Onze Privacy Officer is tot nadere toelichting bereid en kan u helpen bij uw privacy vragen. Voor meer informatie neem contact op met SVC Compliance of met onze Privacy Officer.